Hala PID'si varsa sonlandırılmış Windows işlemini nasıl belirleyebilirim?

Arka plan: Çalışmamın ortasında "Microsoft Fare ve Klavye Merkezi" ni yüklemek için lisans sözleşmesi aniden ortaya çıktı. Hangi işlemin kurulumu başlattığını anlamak istiyorum, ancak Process Explorer'ı kullanarak bunun gittiğini gördüm, sadece PID'sini bulabildim (ekran görüntüsüne bakın).

Soru:

İşlem Gezgini kullanıyorsanız , işlemin üst işleminin artık var olmadığı durumu biliyor olabilirsiniz ve yalnızca PID'sini görebilirsiniz:

Verilen PID altında hangi işlemin çalıştığını öğrenebilmem için PID'nin çalışan işlemle ilişkilendirilmesini içeren bazı Windows günlükleri var mı?

Tercihen, bunu beklemediğim senaryolarla ilgileniyorum, bu yüzden sistemdeki olayları yakalamak için Process Monitor'u kullanmadım .

Çalışan işlemle PID ilişkilendirmesini içeren bazı Windows günlükleri var mı

Varsayılan olarak böyle bir günlük yoktur. Ancak, İşlem İzleme Olaylarını Windows Güvenlik Olay Günlüğü'nde etkinleştirebilirsiniz.

Notlar:

• Çözüm, kullanarak Grup İlkesinde değişiklik yapılmasını gerektirir gpedit.

• Maalesef, Grup İlkesi Düzenleyicisi (gpedit) Windows'un Başlangıç ​​Sürümü, Ev ve Ev Premium sürümlerine dahil değildir.

• Q&A Windows Başlangıç ​​Sürümü, Home ve Home Premium'umun gpedit içermediğini görün, nasıl yüklerim? nasıl kurulacağına ilişkin talimatlar için.

Windows Güvenlik Günlüğünde İşlem İzleme Olayları Nasıl Kullanılır

Windows 2003 / XP'de bu olayları yalnızca İşlem İzleme denetim ilkesini etkinleştirerek alırsınız.

Windows 7/2008 + 'da, Grup İlkesi nesnelerinde Gelişmiş Denetim İlkesi Yapılandırması altında bulacağınız Denetim Süreci Oluşturma ve isteğe bağlı olarak Denetim Süreci Sonlandırma alt kategorilerini etkinleştirmeniz gerekir.

Bu olaylar inanılmaz derecede değerlidir, çünkü sistemdeki herhangi bir yürütülebilir dosya bir işlem olarak başlatıldığında kapsamlı bir denetim izi sağlarlar. Her iki olayda bulunan İşlem Kimliğini kullanarak işlem oluşturma olayını işlem sonlandırma olayına bağlayarak sürecin ne kadar sürdüğünü bile belirleyebilirsiniz. Her iki olaya ilişkin örnekler aşağıda gösterilmiştir.

Kaynak Windows Güvenlik Günlüğünde İşlem İzleme Olaylarını Kullanma

Denetim Süreci Oluşturma nasıl etkinleştirilir

1. Gpedit.msc dosyasını çalıştırın

2. "Windows Ayarları"> "Güvenlik Ayarları"> "Yerel İlkeler"> "Denetim İlkesi" ni seçin

   

3. "Denetim takibi" ni sağ tıklayın ve "Özellikler" i seçin

4. "Başarılı" seçeneğini işaretleyin ve "Tamam" ı tıklayın

   

Denetim Süreci Takibi nedir

Bu güvenlik ayarı, işletim sisteminin süreç oluşturma, işlem sonlandırma, tanıtıcı çoğaltma ve dolaylı nesne erişimi gibi süreçle ilgili olayları denetleyip denetlemediğini belirler.

Bu ilke ayarı tanımlanmışsa, yönetici yalnızca başarıların, yalnızca başarısızlıkların, hem başarıların hem de başarısızlıkların denetlenip denetlenmeyeceğini ya da bu olayların hiç denetlenmeyeceğini (örneğin, ne başarılar ne de başarısızlıklar) belirleyebilir.

Başarı denetimi etkinleştirilirse, işletim sistemi bu işlemle ilgili etkinliklerden birini her gerçekleştirdiğinde bir denetim girişi oluşturulur.

Hata denetimi etkinse, işletim sistemi bu etkinliklerden birini gerçekleştiremediğinde bir denetim girişi oluşturulur.

Varsayılan: Denetim yok

Önemli: Denetim ilkeleri üzerinde daha fazla denetim için, Gelişmiş Denetim İlkesi Yapılandırma düğümündeki ayarları kullanın. Gelişmiş Denetim İlkesi Yapılandırması hakkında daha fazla bilgi için, bkz. Http://go.microsoft.com/fwlink/?LinkId=140969 .

Görmenin tek yolu, süreçlerin oluşturulmasını izlemek için denetimin etkinleştirilmiş olmasıdır.

"Yerel Güvenlik İlkesi" programından ( secpol.mscbulmakta sorun yaşıyorsanız çalışma ekranından yazın) "Güvenlik Ayarları -> Yerel Politikalar -> Denetim İlkesi" ne gidin ve "Başarı" için "Denetim işlemi izlemeyi" etkinleştirin.

Bunu yaptıktan sonra olay görüntüleyiciye gidin ve "Güvenlik" olay günlüğünü kontrol edin, orada her işlem başlatıldığında veya bittiğinde "Denetim Başarısı" girişlerini göreceksiniz.

Bir işlemden çıkıldı.

Konu:
    Güvenlik Kimliği: SYSTEM
    Hesap Adı: SCOTT-PC $
    Hesap Alan Adı: WORKGROUP
    Oturum Açma Kimliği: 0x3E7

İşlem bilgisi:
    İşlem Kimliği: 0x1338
    İşlem Adı: C: ​​\ Windows \ System32 \ consent.exe
    Çıkış Durumu: 0x0

Aradığınız İşlem Kimliğini ondalık sayıdan onaltılık biçime dönüştürmeniz gerekir (3336, 0xD08 olur). Dönüştürmenin en kolay yolu açık pencereli hesap makinesidir, "Programcı" moduna gidin, numarayı "dec" moduna girin, sonra "hex" moduna tıklayın. Görüntülenen sayı sizin için onaltılık sayıya dönüştürülecektir.

Bu bir seferlik bir şeyse ve işlemlerinizi her zaman günlüğe kaydetmek istemiyorsanız, Microsoft Process Monitor'ü kullanmanızı öneririm ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Popüler yumurtlamadan önce çalıştırılması gerekiyor, ancak ebeveyn süreci öldükten sonra bile aradığınız tüm bilgileri yakalamış olacak.